AgentTesla新变种窃取WiFi密码

栏目: IT技术 · 发布时间: 4年前

内容简介:AgentTesla 是一个基于 .NET 的信息窃密恶意软件,能够从失陷主机的不同应用程序(浏览器、FTP 客户端和下载工具等)中窃取数据。该恶意软件的维护者不断添加新的模块为 AgentTesla 升级维护,最新添加的模块是为了窃取 WiFi 配置文件。2014 年 AgentTesla 首次出现后就别网络犯罪分子在各种恶意活动中广为使用。在 2020 年 3 月到 4 月期间,AgentTesla 通过多种格式的垃圾邮件附件(如 ZIP、CAB、MSI、IMG 和 Office 文件等)进行恶意软件的

AgentTesla 是一个基于 .NET 的信息窃密恶意软件,能够从失陷主机的不同应用程序(浏览器、FTP 客户端和下载 工具 等)中窃取数据。该恶意软件的维护者不断添加新的模块为 AgentTesla 升级维护,最新添加的模块是为了窃取 WiFi 配置文件。

2014 年 AgentTesla 首次出现后就别网络犯罪分子在各种恶意活动中广为使用。在 2020 年 3 月到 4 月期间,AgentTesla 通过多种格式的垃圾邮件附件(如 ZIP、CAB、MSI、IMG 和 Office 文件等)进行恶意软件的分发。

我们在野看到的 AgentTesla 新变种能够收集受害者 WiFi 配置文件信息,有可能想利用这种渠道传播到其他设备上。本文将分析这个新功能的工作原理。

技术分析

我们分析的新变种是使用 .NET 编写的,这是一个嵌入图片资源的可执行文件,可以在运行时提取。

AgentTesla新变种窃取WiFi密码

该可执行文件(ReZer0V2)也带有加密的资源。在执行了多次反调试、反沙盒、反虚拟化检查之后,可执行文件将资源的内容解密并将其注入自身。

AgentTesla新变种窃取WiFi密码

第二个 Payload(owEKjMRYkIfjPazjphIDdRoPePVNoulgd)是 AgentTesla 的主要组件,可从浏览器、FTP 客户端、WiFi 配置文件等位置窃取凭据信息。样本经过了高度混淆化,这使得研究人员更加难以进行分析。

AgentTesla新变种窃取WiFi密码

要收集 WiFi 配置文件中的凭据信息,如下所示,将 wlan show profile 作为参数新创建进程 netsh。然后,通过在该进程的输出上使用正则表达式 All User Profile * : (?<profile>.*) 进行匹配提取可用的 WiFi 名称。

AgentTesla新变种窃取WiFi密码

在每个 WiFi 配置中都执行以下命令提取配置文件的凭据 netsh wlan show profile PRPFILENAME key=clear。

AgentTesla新变种窃取WiFi密码

加密字符串

AgentTesla 使用的所有字符串都经过加密,并且在 <Module>.\u200E 函数中使用 Rijndael 对称加密算法进行解密。该函数接受一个数字作为输入,生成三个字节数组,分别是要解密的密文、密钥和 IV。

AgentTesla新变种窃取WiFi密码

如前所示,119216 被解密为 wlan show profile name=,119196 被解密为 key=clear。

除了 WiFi 配置文件,AgentTesla 还收集大量系统信息,包括 FTP 客户端、浏览器、文件下载和机器信息(用户名、计算机名、操作系统名、CPU 体系结构、内存信息),并将这些信息添加到列表中。

AgentTesla新变种窃取WiFi密码

收集的信息以 HTML 格式的 SMTP 邮件正文形式传送:

AgentTesla新变种窃取WiFi密码

如果最终列表中少于三个元素,则不会产生 SMTP 消息。如果一切正常,最后将通过 smtp.yandex.com 发送一条启用 SSL 的消息:

AgentTesla新变种窃取WiFi密码

下图总结了以上的整个过程,从图像资源中提取第一个 Payload 到通过 SMTP 传递窃密信息。

AgentTesla新变种窃取WiFi密码

扩大感染

AgentTesla 新增了 WiFi 窃密功能,我们认为攻击者可能在考虑使用 WiFi 作为新的传播渠道,类似 Emotet 的做法。也可能是想保留 WiFi 信息为将来的工作做好准备。

IOC

 91b711812867b39537a2cd81bb1ab10315ac321a1c68e316bf4fa84badbc09b
 dd4a43b0b8a68db65b00fad99519539e2a05a3892f03b869d58ee15fdf5aa044
 27939b70928b285655c863fa26efded96bface9db46f35ba39d2a1295424c07b
 249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b
 63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0

*参考来源: MalwareBytes ,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C++编程风格

C++编程风格

卡吉尔 / 聂雪军 / 机械工业出版社发行室 / 2007-1 / 25.00元

本书描述C++语言中较深层次的程序设计思想和使用方法,包含大量软件工程概念和设计模式,重点介绍大规模编程相关的内容,例如增加代码的可读性、可维护性、可扩展性以及执行效率等的方法。本书的示例代码都是从实际程序中抽取出来的,融人了作者的实际开发经验。讲解如何正确地编写代码以及避开一些常见的误区和陷阱,并给出了许多实用的编程规则,可快速提升读者的C++编程功力。   本书描述平实,示例丰富,适合有......一起来看看 《C++编程风格》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

MD5 加密
MD5 加密

MD5 加密工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具